أنفق مهاجم حوالي 1,800 دولار أمريكي على MFAM لدفع مقترح Moonwell خبيث يمكن أن يستولي على سبعة أسواق و1.08 مليون دولار من الأصول، مختبرًا دفاعاته المتعلقة بحق النقض والحوكمة.
أنفق مهاجم مجهول في 26 مارس حوالي 1,800 دولار أمريكي للحصول على ما يقرب من 40 مليون توكن MFAM ودفع مقترح حوكمة خبيث بقوة على نشر Moonwell في Moonriver — مكملاً التسلسل بأكمله في حوالي 11 دقيقة وواضعًا حوالي 1.08 مليون دولار أمريكي من أموال المستخدمين في خطر.
كما أفاد The Block، يسعى مقترح المهاجم، المدرج تحت اسم MIP-R39، إلى تحويل الحقوق الإدارية على سبعة أسواق إقراض، وعقد المراقب المالي (comptroller contract)، وأوراكل الأسعار (price oracle) إلى عقد تحت سيطرة المهاجم. من شأن الحصول على هذا الوصول أن يسمح للمهاجم بتفريغ مجمعات البروتوكول (protocol’s pools) حسب الرغبة. Moonwell هو بروتوكول إقراض للتمويل اللامركزي (DeFi lending protocol) يعمل على Moonbeam وMoonriver، وهما سلسلتان فرعيتان (parachains) ضمن نظام Polkadot البيئي، حيث يودع المستخدمون الأصول لكسب العائد (yield) أو الاقتراض مقابل الضمانات (collateral).
يستهدف هذا الاستغلال نقطة ضعف هيكلية متأصلة في الحوكمة القائمة على التوكنات (token-based governance): عندما يتم تداول توكن حوكمة البروتوكول بأسعار منخفضة وتكون مشاركة المصوتين ضعيفة، يمكن لجهة خبيثة الحصول على ما يكفي من وزن التصويت لتمرير المقترحات برأس مال قليل نسبيًا. هذا الديناميكية هي بالضبط ما جعل الهجوم ممكنًا — كانت قيمة 1,800 دولار أمريكي من MFAM كافية للوصول إلى النصاب القانوني وتأمين تصويت إيجابي قبل أن تتمكن المعارضة الجادة من التحرك.
يظل التصويت على المقترح مفتوحًا حتى 27 مارس. وبينما وصل إلى النصاب القانوني بسرعة، فإن غالبية الأصوات المدلى بها تعارضه الآن. ولا تزال النتيجة النهائية تتوقف على أي قوة تصويت متبقية غير معلنة. بشكل منفصل، تحتفظ Moonwell بآلية متعددة التوقيعات للطوارئ (emergency multisig mechanism) تُعرف باسم "Break Glass Guardian"، والتي يمكنها تجاوز عملية الحوكمة وإلغاء وصول المهاجم قبل التنفيذ بغض النظر عن نتيجة التصويت.
يُعد هذا الحادث الفشل الأمني الكبير الثاني الذي يضرب Moonwell في غضون أسابيع قليلة. في فبراير، عانى البروتوكول من استغلال سابق عندما قام أوراكل معيب — يُقال إنه تم تطويره بالاشتراك باستخدام نموذج الذكاء الاصطناعي Claude Opus 4.6 — بتسعير خاطئ لـ Coinbase Wrapped ETH (cbETH) بحوالي دولار واحد بدلاً من قيمته السوقية الفعلية التي تبلغ حوالي 2,200 دولار أمريكي، مما أدى إلى توليد حوالي 1.78 مليون دولار أمريكي من الديون المعدومة (bad debt).
هجمات الحوكمة ليست جديدة على التمويل اللامركزي، لكنها تستمر في الكشف عن التوتر بين المشاركة المفتوحة وأمن البروتوكول. يبقى هجوم قروض الفلاش (flash loan attack) على Beanstalk عام 2022 المثال الأكثر دراماتيكية لهذا النوع من الهجمات، حيث قام مهاجم بتصريف أكثر من 180 مليون دولار أمريكي باستخدام قرض فلاش لتجميع قوة تصويت كافية مؤقتًا لتمرير مقترح احتيالي في معاملة واحدة. كما واجهت Compound Finance وSwerve Finance المنحلة الآن حوادث حوكمة متنازع عليها مماثلة مدفوعة بتراكم التوكنات المركّز.
ما يميز حالة Moonwell هو الكفاءة التكلفة الخام. لم تكن هناك حاجة لقروض فلاش — مجرد شراء متواضع في السوق المفتوحة لتوكن ذي سيولة منخفضة، ونظام حوكمة يفتقر إلى قواطع الدائرة (circuit breakers) لإبطاء مقترح عدائي.
يتسابق مجتمع وفريق Moonwell الآن ضد الموعد النهائي للتصويت في 27 مارس. ستختبر النتيجة ما إذا كانت آلية Break Glass Guardian ومعارضة المصوتين العضوية يمكنهما تحييد التهديد قبل أن يصل المقترح إلى التنفيذ.
